セキュリティの
学び場

今回の解説ニュース

ランサムウェア感染により、システム障害が発生したということです。ランサムウェア攻撃の概要と、早期に復旧ができた背景について説明します。

今回のインシデントでは、一部社員のPC及びサーバ内の保管データが閲覧不能になりました。原因として、業務関連データを格納するサーバに対するランサムウェア攻撃が挙げられています。

対策として、ネットワークを遮断し、サーバ管理者および外部の専門業者と連携の上、速やかな復旧を行っています。再発防止策として、サーバに関わる各機器のログ解析を入念に行い、その中で得られた結果を生かし、これまで以上に強固なセキュリティ対策を行うということです。

SSL-VPNの脆弱性を突かれたランサムウェア感染の経緯

今回のランサムウェア感染について、SSL-VPNの脆弱性がつかれたようです。具体的な感染経緯とその経路について、公開されている報告書から引用して説明します。

感染経緯として、まず、攻撃者からとみられる不正アクセスの痕跡が確認されています。その3時間半後、再度、攻撃者からとみられる通信痕跡が確認されており、具体的には、リモートデスクトップ接続により、サーバ内が横断的に侵害され、ランサムウェアが配布されたと考えられています。その8時間半後に、出勤した社員からの通報により、感染が発覚しています。

感染経路として、ドメインコントローラーのイベントログを調査した結果、攻撃者によるサーバへの侵入が疑われる痕跡が確認されたことから、SSL-VPNのセキュリティが突破されて侵入されたとみられています。
まとめると、SSL-VPNを経由して社内システムへ侵入され、Windowsドメインのユーザが乗っ取られることで、広範囲にわたってランサムウェア感染の被害にあったことが考えられます。

ランサムウェア攻撃に遭うも早期で復旧、ポイントはどこにある？

ランサムウェア感染から早期に復旧できた背景について、インシデント対応フローが整備されていたことが考えられます。こちらも、公開されている報告書から引用して説明します。

対応状況として、感染したサーバとの接続を遮断し、ネットワークの端末をすべて切り離しています。さらに、安全を確認したバックアップデータを使用して、サーバ内の別領域にシステムを復旧したということです。復旧後、サーバーに接続する端末の台数に制限をかけて運用を行っていましたが、最終的には各社員の個人PCとの接続制限を解除し、通常運用を開始しています。最初の攻撃から復旧までにかかったのは約60時間です。

詳細な情報は公開されていませんが、検知から対応、復旧や報告に至るまで、インシデント対応フローがあらかじめ整備されていたことが考えられます。インシデント対応フローとして、発見及び報告、初動対応、告知、抑止措置と復旧、事後対応に大きく分けられます。個別の説明は割愛しますが、すべての手順が整備されていないと、早期復旧や再発防止を適切に行うことができません。

理由として、発生するインシデントをあらかじめ予測することは不可能なため、対応すべき担当者や責任者が不明確になることで、インシデント対応に不備が発生することが挙げられます。よって、組織にとってのインシデントと、インシデントに対する責任を持つ組織を明確に定義するとともに、インシデント対応の手順をあらかじめ整備することで、被害の局所化と機能の早期回復を実現できたことが考えられます。

今回は、ランサムウェア攻撃の概要と早期に復旧ができた背景についてお届けしました。